製造業におけるサイバーセキュリティ：最新ホワイトペーパーに学ぶセキュリティ対策

昨今、サイバー攻撃のニュースが頻繁に報じられています。ラックでは、特に製造業に向けたサイバー攻撃への対策の検討に役立つホワイトペーパー、「製造業を狙うサイバー攻撃から見るセキュリティ対策」を2023年に公開しました。

製造業がサイバー攻撃の対象になりやすい理由や、攻撃事例とその対策、防御のための戦略的なアプローチについて解説しています。

製造業におけるセキュリティ対策のホワイトペーパーを公開した背景

これまで、工場などの製造現場は隔離されたネットワーク内にありました。今では他工場やパートナー企業との連携、他社サービス・アプリの連携、クラウドデータベースの活用など、隔離されたネットワークの中だけでは収まらなくなりました。

「製造業を狙うサイバー攻撃から見るセキュリティ対策」では、工場内の制御系システムに存在する狙われやすいポイントと、ペネトレーションテストを含めた具体的なセキュリティ対策を提案しています。ホワイトペーパーをご覧いただくことで、製造業特有のリスクを理解し、より効果的なセキュリティ対策の方向性を見出す知識を得られます。

また、製造業に留まらず、閉鎖的なネットワークと制御システムが存在する医療・公共インフラなどは、サイバー攻撃による致命的な被害を受ける可能性があります。

本ホワイトペーパーは、これまでに開催したセキュリティ関連イベントや、オンラインで開催しているLAC Virtual EXPO会場にて公開していましたが、サイバー攻撃の影響が大きい業界の関係者に届けられるよう、改めて広く公開させていただくことにしました。

本記事において、ホワイトペーパーの内容の一部を紹介いたします。

製造業が狙われる理由と、ペネトレーションテストによるセキュリティ対策

国内外の重要インフラへのサイバー攻撃事例にはじまり、製造業が標的として狙われる理由を紹介します。前述のとおり、閉鎖したネットワーク内にあったレガシーシステムや、制御システムが狙われやすくなっています。社内システムと同様に、セキュリティ対策をすれば大丈夫だと考えるのは早計です。

なぜなら工場で利用する機器は、社内システムのようなセキュリティ対策をできないものがあるからです。古い機器のためパッチの適用ができないもの、パッチ適用の動作保証対象外であるものも存在します。

セキュリティ対策ができていない部分を攻撃者に狙われた結果、工場が製造を停止すれば、企業の生産能力を奪ってしまうことになりますし、サプライチェーンの他企業への影響も避けられません。重要インフラであれば、生活者の暮らしにも影響が出ます。こうした弱みは、攻撃者側からすると交渉を優位に進める材料になってしまいます。

そんなサイバー攻撃への対策の一つとして、実際に攻撃者目線で疑似攻撃を行い、どういった問題が起きうるのかを確認するペネトレーションテストがあります。ペネトレーションテストを実施するための、組織のセキュリティ対策の成熟度や、どういった状況からテストをスタートし、何をテストのゴールに設定するか、どのようなシナリオを用意するかについて解説します。

ペネトレーションテスト以外のセキュリティ対策

ペネトレーションテスト以外にも、製造業のセキュリティ対策として「脆弱性診断」が必要なこともありますし、システム内のどこにリスクがあるのかを把握する「リスクアセスメント」が必要なことは、製造業以外のシステムと同様です。継続的に社員の取り組みを求める、「セキュリティ教育」についても触れています。

自組織で必要な対策は何か？を考えるところからスタートしてみてください。

「脆弱性診断」「リスクアセスメント」「セキュリティ教育」について、ホワイトペーパーの内容を抜粋して、ご紹介します。

「ペネトレーションテスト」と「脆弱性診断」は目的が異なるため、目的によって使い分ける必要があります。ラックでは脆弱性診断を「対象システムの脆弱性を網羅的に確認する診断」、ペネトレーションテストを「現実的な攻撃シナリオを用いて、『攻撃者の目的』が対象システムにおいて達成できてしまうか実証するテスト」と位置付けています。システムにおける脆弱性を見つけたいなら脆弱性診断、サイバー攻撃を受けた場合の被害を確認するならペネトレーションテストと、どのサービスであれば目的を満たせるか検討する必要があります。

例えば、外部に公開していたVPNの脆弱性が悪用されたら心配だという場合、どちらを選ぶか考えてみます。VPNそのものに脆弱性がある（例：未パッチがある）のであれば脆弱性診断、VPNの脆弱性を悪用されて侵入されたことを前提としたシナリオでどこまで侵害できるかを確認したいならペネトレーションテストを選択すると良いでしょう。

（3-6 脆弱性診断との違いとは）

リスクアセスメントの進め方は、製造業以外の業種と大きな違いはありません。システム構成図、設計書、運用、組織のセキュリティポリシーについてヒアリングを行います。どんな製品の工場であるかは関係ありません。社内システムとどう接続されているか、設計情報などの機密情報をどこで管理しているか、システム・ネットワーク構成、情報の管理方法による違いがあるだけです。

ただ、製造業、公共インフラのセキュリティ対策を難しくしているのは、社内のITでは当たり前に行われている対策が、制御システムでは行うことができないということです。10年、20年使う制御系の機器には実施できない対応があり、動作保証がされていないセキュリティ対策を行えないことが多くあります。

（4-1 リスクアセスメント）

セキュリティ事故に対するリスクを大きくしないためには、セキュリティ教育が重要です。セキュリティ教育をしなければ、社員はどこにリスクが潜んでいるのか意識することもありません。また、問題になりそうなことを見つけた場合、報告の必要性すら感じないかもしれません。

製造業の「セキュリティ教育」では、一般企業でセキュリティ教育を主導する情報システム部門と、製造部門が分かれていることが問題になることがあります。情報システム部門から、生産を担う製造部門へセキュリティ教育を行うことはほとんどないでしょう。

社内に、横断的な組織であるCSIRT（Computer Security Incident Response Team）、PSIRT（Product Security Incident Response Team）がある企業では、横断的な組織がリードしてセキュリティ教育を企画することが多いようです。横断的な部門が存在しない場合には、市場に対する窓口である部門「品質保証」部門がハブになって、セキュリティ教育を進めることがあります。

（4-2 セキュリティ教育）

ホワイトペーパーのダウンロード

製造業の中でセキュリティ対策に不安がある方や、これまで閉鎖環境にあった医療・重要インフラのシステムに関わる方にも、ご一読いただけると幸いです。

ぜひ、ダウンロードいただいた後、効果的な対策についてご検討ください。

プロフィール